應(yīng)用程序開發(fā)市場正在轉(zhuǎn)向容器化的“云原生”應(yīng)用程序架構(gòu),而不是單片應(yīng)用程序?,F(xiàn)在也是制定政策和授權(quán)的時候了,以提供所有現(xiàn)代安全策略的基礎(chǔ),無論是企業(yè)更喜歡將其稱為零信任、Gartner公司的CARTA還是谷歌的BeyondCorp,為了管理新應(yīng)用程序開發(fā)世界的運(yùn)營、安全和合規(guī)風(fēng)險,需要對授權(quán)進(jìn)行重新設(shè)計。
事實(shí)上,隨著當(dāng)今自動化、GitOps和容器化趨勢所產(chǎn)生的“一切即代碼”的心態(tài),在基礎(chǔ)設(shè)施本身中構(gòu)建策略勢在必行。“策略即代碼”解決方案對于Kubernetes、持續(xù)集成和持續(xù)交付(CICD)、數(shù)據(jù)庫、API、servicemesh、應(yīng)用程序、云平臺等至關(guān)重要。當(dāng)基礎(chǔ)設(shè)施本身(應(yīng)用程序組件)由策略控制和管理時,它們只能做正確的事情。企業(yè)的最佳實(shí)踐無法再適應(yīng)這些新環(huán)境的速度和廣度。只有在環(huán)境本身中執(zhí)行的自動化策略才能真正降低操作、安全和法規(guī)遵從性風(fēng)險。
例如,使用將策略定義為代碼的授權(quán)規(guī)則,DevOps團(tuán)隊(duì)可以確保只有已批準(zhǔn)的工作負(fù)載才能在生產(chǎn)中運(yùn)行;只有特定的服務(wù)才能基于當(dāng)前場景訪問其他服務(wù);只有特定的數(shù)據(jù)才能在給定的數(shù)據(jù)庫和給定的服務(wù)之間移動;每次部署新工作負(fù)載時,都會有特定的安全配置。這樣的策略不能應(yīng)用于應(yīng)用程序的外部;也不應(yīng)該硬編碼為不同的應(yīng)用程序組件本身。與其相反,它們必須在應(yīng)用程序基礎(chǔ)結(jié)構(gòu)中應(yīng)用,使用公共框架和語言,與服務(wù)分離,但必須集成且足夠接近才能有效并滿足性能要求。即代碼的聲明性策略可以提供這些必要的保護(hù)。
以下是導(dǎo)致出現(xiàn)這一拐點(diǎn)的三個宏觀趨勢:
(1)開源和微服務(wù)改變了應(yīng)用程序開發(fā)
正如計算、網(wǎng)絡(luò)、存儲和監(jiān)控必須發(fā)展以適應(yīng)現(xiàn)代應(yīng)用程序的需求一樣,策略和授權(quán)服務(wù)也必須發(fā)展。在剛剛過去的兩年里,云原生應(yīng)用程序堆棧和微服務(wù)架構(gòu)已經(jīng)正式進(jìn)入企業(yè)。部署已從簡單的探索轉(zhuǎn)向全面的生產(chǎn)。開源項(xiàng)目是這一轉(zhuǎn)變的關(guān)鍵,由同行評審的社區(qū)的創(chuàng)新、迭代和強(qiáng)化推動。這一全球群體所創(chuàng)造的技術(shù),包括Docker、Mission、Istio和Prometheus,對當(dāng)今的企業(yè)至關(guān)重要。當(dāng)然,Kubernetes是現(xiàn)代應(yīng)用程序部署的必備組件。
根據(jù)設(shè)計,這種新的微服務(wù)堆棧是高度動態(tài)的、短暫的和分離的。原有的策略和授權(quán)方法不足以應(yīng)對新的規(guī)模、速度和復(fù)雜性挑戰(zhàn)。一種新的聲明性系統(tǒng)是唯一的方法,在該系統(tǒng)中,可以在應(yīng)用程序代碼之外定義策略,但可以將其與整個堆棧中的API集成在一起以執(zhí)行。如果做得好,那么輕量級的但無處不在的策略層可以確保正確的訪問級別、正確??的工作負(fù)載類型以及正確的配置,以便只允許可能發(fā)生的事情,而不擔(dān)心其他事情。
(2)安全性以預(yù)防為主
如今,絕大多數(shù)企業(yè)實(shí)際上已經(jīng)成為軟件企業(yè)。無論產(chǎn)品是什么,基于云計算的訂購、營銷和社區(qū)應(yīng)用程序越來越成為基本的構(gòu)建基塊。同時,軟件開發(fā)過程也正在發(fā)生重大變化。企業(yè)正在盡可能地使流程自動化,從而導(dǎo)致從每年僅幾個版本過渡到每天多個版本。其驅(qū)動因素是提高開發(fā)人員的效率和專注力。其結(jié)果是獲得競爭優(yōu)勢,并加快上市時間。
當(dāng)今的云原生架構(gòu)世界要求將安全性轉(zhuǎn)換為按策略編碼,并加入當(dāng)今的GitOps工作流程。這使DevOps團(tuán)隊(duì)可以與開發(fā)管道中的所有其他代碼和配置更改一起創(chuàng)建、查看和聲明滿足所有合規(guī)性要求的策略。無論是滿足內(nèi)部合規(guī)性需求還是更廣泛的行業(yè)合規(guī)性,例如用于信用卡處理的PCI法規(guī)或醫(yī)療領(lǐng)域的HIPAA法規(guī),圍繞單片應(yīng)用程序堆棧的“黑盒”安全解決方案時代已經(jīng)結(jié)束。安全必須遵循新的云原生模型,才能進(jìn)行部署、測試和審核。
DevOps團(tuán)隊(duì)還希望確保高水平的自動化、測試和可靠性,以確保交付速度不會帶來額外的風(fēng)險。為了減輕這種風(fēng)險,安全性是“向左移動”的,在這個周期的早些時候得到了解決。其目標(biāo)是著重于預(yù)防問題,而不是發(fā)現(xiàn)問題。應(yīng)用程序開發(fā)人員對安全和運(yùn)營負(fù)有更多責(zé)任,應(yīng)對IT安全和運(yùn)營團(tuán)隊(duì)先前處理的任務(wù)負(fù)責(zé)。當(dāng)務(wù)之急是在周期的早期編纂和實(shí)施安全與運(yùn)營政策。將安全性轉(zhuǎn)換為按策略編碼可以使DevOps團(tuán)隊(duì)確保策略符合合規(guī)性要求,并且可以實(shí)時執(zhí)行。
(3)數(shù)據(jù)政策標(biāo)準(zhǔn)越來越嚴(yán)格
數(shù)據(jù)泄露一直在發(fā)生。企業(yè)和消費(fèi)者都越來越意識到對其隱私的威脅以及對其保護(hù)的需求。美國方面,將于2020年1月生效的《加利福尼亞消費(fèi)者隱私法案》(CCPA)正在啟動,以幫助個人控制其個人信息。同樣,于2018年實(shí)施的歐洲通用數(shù)據(jù)保護(hù)條例(GCPR)用于保護(hù)個人數(shù)據(jù)。這些可能是目前公認(rèn)的最廣泛的保護(hù)措施,但還有幾十項(xiàng)正在進(jìn)行中。
發(fā)生數(shù)據(jù)泄露時,通常是因?yàn)椴呗詧?zhí)行失敗。DevOps團(tuán)隊(duì)需要能夠證明安全性,顯示策略的實(shí)施方式,向?qū)徍撕桶踩珗F(tuán)隊(duì)明確表示已經(jīng)實(shí)施了數(shù)據(jù)保護(hù),并且在需要的地方阻止了訪問。誰有權(quán)訪問私人數(shù)據(jù)?策略定義了這種訪問權(quán)限,但是無法執(zhí)行該策略通常是人為錯誤的直接結(jié)果。有了自動護(hù)欄,現(xiàn)代應(yīng)用程序就更有可能既安全又合規(guī),通過消除無法預(yù)料的結(jié)果的可能性,并限制對非常有限和可控制的可能性的訪問。
簡而言之,人類無法跟上這種發(fā)展。靜態(tài)策略無法解決問題。事情可能以各種方式出錯,但主要只有幾種方式。云原生的范圍只會使這些問題復(fù)雜化,而唯一的解決方法就是將策略作為代碼。但是,審核員和IT安全/合規(guī)團(tuán)隊(duì)并不是編程人員,與審核員一起研究代碼如何解決策略是浪費(fèi)時間,并且與Kubernetes的速度和自動化直接沖突。當(dāng)人們過渡到新的即代碼解決方案以實(shí)現(xiàn)新堆棧中的安全性時,簡單的監(jiān)視、驗(yàn)證以及證明策略能夠達(dá)到預(yù)期效果的能力將至關(guān)重要。
結(jié)語
隨著創(chuàng)新的速度和自動化帶來的日益復(fù)雜性,現(xiàn)在到了網(wǎng)絡(luò)安全的關(guān)鍵時刻。為了幫助開發(fā)人員更快地發(fā)展新世界并改善他們的安全狀況,Adobe、Atlassian、CapitalOne、Chef、Google、Microsoft、Goldman Sachs、Cisco和Styra等公司目前正在為整個策略和授權(quán)支持事實(shí)上的標(biāo)準(zhǔn)新的應(yīng)用程序開發(fā)堆棧,即開源項(xiàng)目Open Policy Agent(OPA)。OPA為云原生環(huán)境提供基于策略的控制,從而為管理員提供了整個堆棧的靈活、細(xì)粒度的控制。OPA之類的工具為云原生,高度自動化的世界提供了必要的框架。開源社區(qū)正在響應(yīng)云原生應(yīng)用程序體系結(jié)構(gòu)中策略和授權(quán)的趨勢,并采取措施使企業(yè)和消費(fèi)者的部署更加安全。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號